EOP 中的反恶意软件保护

无论在 Exchange Online 中拥有邮箱的 Microsoft 365 组织中，还是没有 Exchange Online 邮箱的独立 Exchange Online Protection (EOP) 组织中，EOP 都会自动保护电子邮件免受恶意软件威胁。 恶意软件的一些主要类别包括：

• 感染其他程序和数据的病毒，并通过计算机或网络传播，寻找要感染的程序。
• 收集 个人信息（如登录信息和个人数据）并将其发送回作者的间谍软件。
• 勒索软件，加密你的数据并要求付款进行解密。 反恶意软件不会帮助你解密加密的文件，但它可以检测与勒索软件关联的恶意软件有效负载。

EOP 提供多层恶意软件保护，旨在捕获 Windows、Linux 和 Mac 中传入或传出组织的所有已知恶意软件。 以下选项帮助提供反恶意软件保护：

• 防止恶意软件侵害的分层防御：多个反恶意软件扫描引擎保护系统不受已知与未知威胁的侵害。 这些引擎包括强大的启发式检测，即使在恶意软件发作的早期，该检测也可提供保护。 这种多引擎方法已经显示出可以提供明显多于单一防恶意软件引擎的保护。
• 实时威胁响应：在某些爆发期间，反恶意软件团队可能拥有有关病毒或其他形式的恶意软件的足够信息，以编写检测威胁的复杂策略规则，即使在服务使用的任何扫描引擎提供定义之前也是如此。 这些规则每两个小时就向全球网络发布一次，以向组织提供防止攻击的额外保护层。
• 快速反恶意软件定义部署：反恶意软件团队与开发反恶意软件引擎的合作伙伴保持密切关系。 所以，该服务在恶意软件定义与修补程序公开发布之前就可以接收和集成这些信息。 我们与这些合作伙伴的联系通常也使我们能够开发自己的补救措施。 该服务每小时为所有的反恶意软件引擎检查一次是否有更新的定义。

在 EOP 中，将隔离^*发现在任何附件中包含恶意软件的邮件。 收件人是否可以查看隔离邮件或与之交互，由 隔离策略控制。 默认情况下，由于恶意软件而被隔离的邮件只能由管理员查看和释放。 无论管理员配置的任何可用设置，用户都无法释放自己的隔离恶意软件邮件。 有关详细信息，请参阅以下文章：

^* 在高级传递策略中标识的 SecOps 邮箱上跳过恶意软件筛选。 有关详细信息，请参阅 为第三方网络钓鱼模拟配置高级传递策略和将电子邮件传递到 SecOps 邮箱。

• 隔离策略剖析
• 在 EOP 中以管理员身份管理隔离的邮件和文件。

反恶意软件策略还包含 常见的附件筛选器。 包含指定文件类型的消息 会自动 标识为恶意软件。 有关详细信息，请参阅本文后面的 反恶意软件策略中的常见附件筛选器 部分。

有关反恶意软件保护的详细信息，请参阅 反恶意软件保护常见问题解答。

若要配置默认反恶意软件策略，以及创建、修改和删除自定义反恶意软件策略，请参阅 配置反恶意软件策略。 在“标准”和 “严格”预设安全策略中，反恶意软件策略设置已配置且不可修改，如 EOP 反恶意软件策略设置中所述。

反恶意软件策略

反恶意软件策略控制恶意软件检测的可配置设置和通知选项。 以下小节介绍了反恶意软件策略中的重要设置。

反恶意软件策略中的收件人筛选器

收件人筛选器使用条件和例外来标识应用策略的内部收件人。 自定义策略中至少需要一个条件。 条件和例外在默认策略中不可用， (默认策略应用于) 的所有收件人。 对于条件和例外，可以使用以下收件人筛选器：

• 用户：组织中的一个或多个邮箱、邮件用户或邮件联系人。
• 组：
  • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
  • 指定的 Microsoft 365 组。
• 域：Microsoft 365 中配置的 一个或多个接受域 。 收件人的主电子邮件地址位于指定的域中。

只能使用一次条件或异常，但条件或异常可以包含多个值：

• 相同条件或异常的多个值使用 OR 逻辑 (，例如 recipient1<> 或 <recipient2>) ：

  • 条件：如果收件人与 任何 指定值匹配，则会对其应用策略。
  • 例外：如果收件人与 任何 指定值匹配，则不会对其应用策略。

• 不同类型的异常使用 OR 逻辑 (例如，<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配，则不会对其应用策略。

• 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件，策略才能应用于他们。 例如，使用以下值配置条件：

  • 用户： romain@contoso.com
  • 组：高管

  仅当他也是高管组的成员时，才会应用romain@contoso.com该策略。 否则，该策略不适用于他。

反恶意软件策略中的常见附件筛选

某些类型的文件确实不应通过电子邮件发送 (例如可执行文件) 。 当应该阻止所有这些文件时，为什么要费心扫描这些类型的恶意软件？ 这就是常见附件筛选器的用武之地。 指定的文件类型会自动标识为恶意软件。

默认文件类型列表用于默认反恶意软件策略、创建的自定义反恶意软件策略以及标准和严格 预设安全策略中的反恶意软件策略。

在 Microsoft Defender 门户中，可以在Microsoft Defender门户中创建或修改反恶意软件策略时，从其他文件类型列表中选择或添加自己的值。

• 默认文件类型： ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z。

• 在 Defender 门户中选择的其他文件类型： 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx。

当常见附件筛选器检测到文件时，可以选择 拒绝具有未送达报告的邮件， (NDR) 或 隔离邮件。

常见附件筛选器中的 True 类型匹配

常见附件筛选器使用最大努力的 true 类型匹配来检测文件类型，而不考虑文件扩展名。 True 类型匹配使用文件特征来确定实际文件类型 (例如文件) 中的前导字节和尾随字节。 例如，如果使用 exe 文件扩展名重命名 txt 文件，则常见附件筛选器会将该文件检测为 exe 文件。

常见附件筛选器中的 True 类型匹配支持以下文件类型：

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

如果 true 类型匹配失败或文件类型不支持，则使用简单扩展匹配。

反恶意软件策略中的零小时自动清除 (ZAP)

ZAP for malware 隔离在传递到Exchange Online邮箱后发现包含恶意软件的邮件。 默认情况下，“恶意软件的 ZAP”处于打开状态，建议将其保留为打开状态。 有关详细信息，请参阅 恶意软件的零小时自动清除 (ZAP) 。

反恶意软件策略中的隔离策略

隔离策略定义用户可以对隔离邮件执行哪些操作，以及用户是否会收到隔离通知。 默认情况下，收件人不会收到已隔离为恶意软件的邮件的通知，并且无论管理员配置的任何可用设置，用户都无法释放自己的隔离恶意软件邮件。 有关详细信息，请参阅 隔离策略剖析。

反恶意软件策略中的管理员通知

可以指定其他收件人 (管理员) 接收来自内部或外部发件人的邮件中检测到的恶意软件的通知。 可以为内部和外部通知自定义 发件人地址、 主题和 消息文本 。

默认情况下，这些设置未在默认反恶意软件策略中配置，也不会在标准或严格 预设安全策略中配置。

反恶意软件策略的优先级

如果 启用，则会先应用标准和严格预设安全策略，然后再应用任何自定义反恶意软件策略或默认策略 (严格始终首先) 。 如果创建多个自定义反恶意软件策略，可以指定它们的应用顺序。 策略处理在应用第一个策略后停止， (该收件人) 的最高优先级策略。

有关优先级顺序以及如何评估多个策略的详细信息，请参阅 电子邮件保护的顺序和优先级 和 预设安全策略和其他策略的优先级顺序。

默认反恶意软件策略

每个组织都有一个名为 Default 的内置反恶意软件策略，该策略具有以下属性：

• 该策略是默认策略（IsDefault 属性的值为 True），你无法删除默认策略。
• 该策略会自动应用于组织中的所有收件人，你无法将其关闭。
• 策略始终在最后应用 (优先级 值为 “最低 ”且无法) 更改它。